没有管理员或sudo特权的用户运行的恶意软件会损害我的系统吗?[关闭]


30

最近在运行Linux的计算机上发生故障之后,我在用户的主文件夹中找到了一个密码较弱的可执行文件。我已经清理了似乎所有的损坏,但是为了确保可以完全擦拭干净,我正在准备中。

非sudo或不受特权的用户运行的恶意软件可以做什么?只是在寻找带有世界可写许可标记的文件进行感染吗?非管理员用户可以在大多数Linux系统上执行哪些威胁性操作?您能否提供这种安全漏洞可能导致的现实问题的一些示例?


14
作为无特权的用户,它可以做任何事情,这可能是很多事情。
Faheem Mitha

1
这取决于您的设置以及机器的维护是否良好。它的范围可能仅仅是发送恶意软件或成为僵尸网络的一部分,到提升特权,做所有这些事情,甚至进一步损害机器和网络的安全性。
Rui F Ribeiro

9
如果恶意软件足够复杂,它就可以利用漏洞来获得root用户访问权限。始终应将完全被破坏的系统视为已损坏,应立即将其脱机。
Runium '16

2
注意:通常,漏洞利用会在几个月内处于非活动状态。开发者将把做坏事的能力卖给他人。
贾科莫·卡泰纳齐

Answers:


29

大多数普通用户可以发送邮件,执行系统实用程序以及创建侦听更高端口的网络套接字。这意味着攻击者可以

  • 发送垃圾邮件或网络钓鱼邮件,
  • 利用仅在系统内部可见的任何系统配置错误(考虑具有允许的读取权限的私钥文件),
  • 设置服务以分发任意内容(例如色情洪流)。

这究竟意味着什么取决于您的设置。例如,攻击者可能发送的邮件看起来像是来自您公司的邮件,并且滥用了服务器的邮件信誉;如果已设置了诸如DKIM之类的邮件身份验证功能,则更是如此。在您的服务器的代表受到感染并且其他邮件服务器开始将IP /域列入黑名单之前,此方法一直有效。

无论哪种方式,从备份还原都是正确的选择。


17
攻击者可以加密所有用户数据,并要求付款才能获得私有密钥
Ferrybig

1
@Ferrybig他们只能加密当前版本,不能备份。问题就变成了:备份集是非空的吗?
PyRulez'3

我们都知道该问题的通常答案,@ PyRulez:O
TheBlastOne

从服务器发送电子邮件是否暗示您可以使用域名而不是完全不相关的服务器来使用电子邮件地址@域?
user23013 '16

1
@ user23013不一定,但是在很多系统中都可以。邮件管理员可以设置SPFDKIMDMARC之类的技术,使远程服务器可以验证传入邮件的合法性。一些邮件程序(例如Gmail)提供了一个选项,以突出显示以这种方式验证的邮件。攻击者可能滥用此方法来发送看似可信赖的网络钓鱼邮件。
tarleb '16

19

大多数答案都缺少两个关键词:特权提升

攻击者可以访问一个非特权帐户,这使他们更容易利用操作系统和库中的错误来获得对系统的特权访问。您不应该假定攻击者仅使用了他们最初获得的非特权访问。


2
我正在等待发贴,看看是否有人注意到这种特别的真实风险。缓冲区溢出,所有恶意软件的永恒朋友,哈哈。您应该拥有加号1以上,因为这是实际的实际风险,而不是某些用户级别的间谍软件,这很烦人,但仅此而已。特权升级导致安装Rootkit,导致拥有一台完全拥有的计算机,而无法检测到的漏洞利用程序却在后台快乐地运行。
Lizardx '16


12

勒索软件

由于您可能已经注意到它,因此它并不适合您的情况,但是对于当今流行的勒索软件攻击(对您的所有文档进行加密并提供出售解密密钥的功能),足以获得无特权的访问。

它无法修改系统文件,但与从通常已过时或不存在的备份中恢复有价值的用户数据(业务文档,家庭图片等)相比,从头开始重建系统通常很简单。



4

病毒可以感染LAN网络中的所有计算机,并提升特权以获取root用户访问权限Wiki-Privilege_escalation

特权提升是利用操作系统或软件应用程序中的错误,设计缺陷或配置监督来获得对通常受到应用程序或用户保护的资源的更高访问权限的行为。结果是,具有比应用程序开发人员或系统管理员想要的特权更多的应用程序可以执行未经授权的操作。


0

我想到了很多潜在的可能性:

  • 拒绝服务:它可能在您的计算机上或更可能在您的计算机上,以您自己的资源为代价,使用您的计算机攻击第二台计算机。
  • 我的比特币。使用CPU来赚钱似乎很吸引人
  • 如果浏览器容易受到攻击,他们将尝试将您重定向到各种网站,安装栏或显示弹出式窗口,这些都将为其带来收入。幸运的是,这在Linux中似乎更难,或者垃圾邮件发送者对此不那么擅长。
  • 获取用于商业用途的私人数据并将其出售给他人。仅针对受感染的用户:出生日期,电话(如果在浏览器缓存中)。
  • 访问服务器中其他可读的文件。
  • 创建可能要求输入root密码的恶意脚本。例如,在您的bash中,他们可能尝试将sudo重定向到其他东西来获取密码。
  • 在浏览器中获取存储的密码,或尝试记录您的银行信用凭证。这可能很难,但肯定会很危险。使用gmail,他们可能会获得Facebook,偷走您的蒸汽帐户,亚马逊等。
  • 安装对您的用户有效的恶意证书

当然,这是最坏的情况,所以不要惊慌。其中一些可能会被其他安全措施阻止,并且一点也不微不足道。


0

信息[1]

恕我直言,漏洞利用程序可以做的最可怕的事情之一就是收集信息,并保持隐藏状态,以便当您的注意力减少时(每天晚上或节假日都适合)时,它会再次出现并发动攻击。
以下只是我想到的第一个原因,您可以添加其他人和其他人...

  • 有关您正在运行的服务,其版本和弱点的信息,尤其要注意出于兼容性原因而可能需要保留的过时服务。
  • 更新它们和安全补丁的周期性。要坐在公告栏前面,等待合适的时机,然后尝试回来。
  • 用户的习惯,什么时候会引起更少的怀疑。
  • 您设置的防御措施
  • 如果甚至获得了部分root访问权限,每个用户在此计算机和其他计算机上的ssh-keys授权主机密码(假设某人执行的命令都以传递的密码作为参数,则甚至不需要root特权)。可以扫描内存并将其提取。我再说一遍:以两种方式,从您的机器到您的机器。借助两台计算机之间的2面SSH授权,他们可以继续从受感染的帐户中弹入和退出。

由于上述原因以及您可以从其他答案中读取的所有其他原因,请放平机器并监视将来的密码和密钥。


[1]并非真正引用希区柯克的话:“开枪虽然能持续片刻,但挥舞武器的手却能拍整部电影”

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.